Wer sich an die Regeln zu sicheren Passwörtern hält und wie empfohlen für jedes Benutzerkonto ein eigenes Passwort verwendet, braucht ein gutes Gedächtnis – oder ein Programm, das sich die vielen verschiedenen Passwörter merkt, oder sogar selbstständig generiert. Ein solcher Passwortmanager sollte angesichts der darin gespeicherten sensiblen Daten vor allem sicher und einfach zu bedienen sein.
Um auf die so hinterlegten Passwörter zuzugreifen, benötigt der Nutzer lediglich ein einziges sogenanntes Master-Passwort. Doch wie bei allen Programmen können sich auch hier Fehler in den Code einschleichen, die dann zu einer Sicherheitslücke führen. Jüngstes Beispiel dafür ist der beliebte Passwortmanager KeePass.
Wie ein Sicherheitsforscher mit dem Pseudonym „vdohney“ berichtet, ist KeePass anfällig für das Extrahieren des Master-Passworts aus dem Speicher der Anwendung. Angreifer mit Zugriff auf ein kompromittiertes Gerät können so das Master-Passwort abrufen, selbst wenn das Programm eigentlich gesperrt und die Daten verschlüsselt sind. Seine Erkenntnisse hat vdohney in einem Proof-of-Concept-Tool veröffentlicht, in dem auch gezeigt wird, wie man vorgehen muss, um sich das Master-Passwort anzueignen.
Die Sicherheitslücke mit dem Kürzel CVE-2023-32784 ermöglicht die Wiederherstellung des KeePass-Master-Passworts, abgesehen von den ersten ein oder zwei Zeichen, in Klartextform, unabhängig davon, ob der KeePass-Arbeitsbereich gesperrt ist, oder möglicherweise sogar, wenn das Programm geschlossen ist. Dafür sei keine Codeausführung auf dem Zielsystem erforderlich, ein Auszug des Speichers aus dem Prozessdump, der Auslagerungsdatei (pagefile.sys), der Hibernation-Datei (hiberfil.sys) oder der RAM-Dump des gesamten Systems würden ausreichen. Da jedoch ein Zugriff auf den Speicher erfolgen muss, müssen die Angreifer entweder physischen Zugriff auf den Computer haben oder den Speicher mittels Malware-Infektion des Zielrechners auslesen.
Was war der Grund für die KeePass-Sicherheitslücke?
Grund für die Sicherheitslücke scheint ein speziell entwickeltes Textfeld zur Passworteingabe zu sein, das Spuren von jedem Zeichen, das der Benutzer eingibt, im Speicher hinterlässt. Das Textfeld kommt nicht nur bei der Eingabe des Master-Passworts zum Einsatz, sondern auch an anderer Stelle in der App, etwa bei den Eingabefeldern für die gespeicherten Passwörter. Betroffen ist die aktuelle Version 2.53.1 von KeePass. Da es sich bei KeePass um Open-Source-Software handelt, können darüber hinaus auch andere, darauf basierende Programme anfällig für diesen Angriffsvektor sein. KeePass 1.X, KeePassXC und Strongbox scheinen hingegen nicht von CVE-2023-32784 betroffen zu sein, so der Entwickler des Passwort-Dumping-Tools.
Ist die KeePass-Sicherheitslücke geschlossen?
Ja, mit Version 2.54 beseitigen die Entwickler die Lücke, über die es einem lokalen Angreifer unter Umständen möglich war, das Masterpasswort zu rekonstruieren. Neben dem gelösten Sicherheitsproblem gibt KeePass neue Features bekannt. KeePass speichert jetzt unter anderem Triggers, globale URL Overrides, Password Generator Profile in der „enforced configuration“-Datei. Mehr Informationen finden Sie hier.
www.8com.de